我使用本指南创建了一个内部 ADCS CA,然后提交了一个证书请求,为我的域 eds89.com 创建一个通配符证书。这背后的意图是应用于我的一些内部可访问的测试服务器,以便从加入域的机器进行访问并抑制证书错误。
一切似乎都很好,并且证书链似乎对于内部加入域的机器是受信任的,但是,当我使用 rd.eds89.com 浏览到一个站点时,Chrome 给了我一个 COMMON_NAME_INVALID 错误。
如果我查看证书详细信息,我可以看到它是发给 *.eds89.com 的,所以我很困惑为什么它认为它是无效的?这是证书主题
CN = *.eds89.com
OU = Home
O = Eds
L = Ipswich
S = Suffolk
C = GB
作为参考,这是我创建证书所遵循的指南。
谁能建议我是否需要使用不同的设置重做请求以说明 Chrome 处理证书方式的任何更改,或者我是否完全不合时宜?
答案:
我还需要使用通配符条目填充 SAN,并且还需要从 SHA1 移动到 SHA256。